Microsoft 365 サービスを使用すると、ユーザーに安全で生産性の高いファイル コラボレーション環境を作成できます。 SharePoint は、この環境の大部分を強化しますが、Microsoft 365 でのファイル コラボレーションの機能は、従来の SharePoint サイトを超えています。 Teams、OneDrive、およびさまざまなガバナンスとセキュリティ オプションはすべて、ユーザーが簡単に共同作業でき、organizationの機密性の高いコンテンツがセキュリティで保護されたリッチ環境を作成する役割を果たします。
次のセクションでは、コラボレーション環境を設定するときに管理者が考慮する必要があるオプションと決定事項について説明します。
- SharePoint と Microsoft 365 の他のコラボレーション サービス (OneDrive、Microsoft 365 グループ、Teams など) との関係。
- ユーザーに対して直感的で生産性の高いコラボレーション環境を作成する方法。
- アクセス許可、データ分類、ガバナンス ルール、監視を使用してアクセスを管理することで、organizationのデータを保護する方法。
この記事は、より広範な Microsoft 365 コラボレーション ストーリーの一部です。
Microsoft 365 for IT アーキテクトのMicrosoft Teamsおよび関連する生産性サービスのポスターをダウンロードし、この記事を読んでいる間に参照してください。 このポスターでは、Microsoft 365 のコラボレーション サービスが相互にどのように関係し、相互作用しているかを詳しく説明します。
成功したコラボレーション エクスペリエンスの作成
Microsoft 365 でのファイル コラボレーションの技術的な実装オプションを選択します。これは、矛盾した要件と思われるもののバランスを取ります。
- 知的財産の保護
- セルフサービスの有効化
- スムーズなユーザー エクスペリエンスの作成
知的財産の保護
この記事の後半で説明するいくつかのオプションは、知的財産の保護に役立ちます。 これらのオプションには、ファイルを共有できるユーザーの制限、秘密度ラベルを使用したガバナンス ポリシーの適用、ユーザーがコンテンツへのアクセスに使用するデバイスの管理などがあります。
オプションを選択するときは、バランスの取れたアプローチを検討してください。
ユーザーがコンテンツを自由に共有できる構成は、機密データの偶発的な共有につながる可能性があります。 ただし、使用が困難なユーザー エクスペリエンスや制限が厳しすぎると、ユーザーがガバナンス ポリシーを回避する代替コラボレーション オプションを見つけ出し、最終的にはリスクがさらに高まる可能性があります。
データの機密性に応じて、機能の組み合わせを使用することで、使いやすく、必要なセキュリティと監査の制御を提供するコラボレーション環境を作成できます。
セルフサービスの有効化
Microsoft 365 では、ユーザーが必要に応じて Teams、Microsoft 365 グループ、および SharePoint サイトを作成できるようにします。 秘密度ラベルを使用してアクセス許可ガバナンスを適用し、コンテンツを保護するコンプライアンス機能を利用し、有効期限と更新ポリシーを使用して、未使用のサイトが蓄積されないようにします。
ユーザーのセルフサービスを優先するオプションを選択することにより、IT スタッフへの影響を最小限に抑えながら、ユーザーにとって使いやすいエクスペリエンスを作成できます。
スムーズなユーザー エクスペリエンスの作成
スムーズなユーザー エクスペリエンスを作成するための鍵は、ユーザーが理解していない、またはヘルプ デスクにエスカレートする必要があるユーザーの障壁を作成しないようにすることです。 たとえば、サイトの外部共有をオフにすると、ユーザーの混乱や不満が生じる可能性があります。 サイトとそのコンテンツを機密としてラベル付けし、データ損失防止ポリシーのヒントと電子メールを使用して、ガバナンス ポリシーでユーザーを教育すると、ユーザーのエクスペリエンスがスムーズになる可能性があります。
SharePoint、Microsoft 365 グループ、および Teams
Microsoft 365 の SharePoint では、各 SharePoint チーム サイトは Microsoft 365 グループの一部です。 Microsoft 365 グループは、SharePoint サイト、Planner のインスタンス、メールボックス、共有予定表など、さまざまな Microsoft 365 サービスに関連付けられている 1 つのアクセス許可グループです。 Microsoft 365 グループに所有者またはメンバーを追加すると、他の接続されたサービスと共に SharePoint サイトにアクセスできます。
引き続き SharePoint グループを使用して SharePoint サイトのアクセス許可を個別に管理できますが、ユーザーを追加するか、関連付けられている Microsoft 365 グループから削除することで、SharePoint のアクセス許可を管理します。 このアプローチにより、管理が容易になり、ユーザーはコラボレーションを向上させるために使用できる関連サービスのホストにアクセスできます。
Microsoft Teamsは、Microsoft 365 グループ関連のすべてのサービスに加え、さまざまな Teams 固有のサービスを永続的なチャットで 1 つのユーザー エクスペリエンスにまとめることで、コラボレーションのハブを提供します。 Teams は、関連付けられている Microsoft 365 グループを使用してアクセス許可を管理します。 Teams エクスペリエンス内で、ユーザーはアプリケーションを切り替えることなく、他のサービスと共に SharePoint に直接アクセスできます。 この方法では、アクセス許可を管理するための単一の場所を備えた一元化されたコラボレーション スペースが提供されます。 Teams では、標準チャネル内のファイルに対して Microsoft 365 グループに接続されている SharePoint サイトを使用し、プライベート チャネルまたは共有チャネルごとに個別の SharePoint サイトを作成します。 organizationでのコラボレーション シナリオの場合は、SharePoint などのサービスを個別に使用するのではなく、Teams を使用します。
SharePoint と Teams の相互連携の詳細については、「Teams と SharePoint 統合の概要」および「SharePoint と Teams が統合されている場合の設定とアクセス許可の管理」を参照してください。
クライアント アプリケーションでのコラボレーション
Word、Excel、PowerPointなどの Office アプリケーションには、共同編集や@mentionsなど、さまざまなコラボレーション機能が用意されています。 これらのアプリケーションは、秘密度ラベルやデータ損失防止とも統合されます (後で説明します)。
Microsoft 365 Apps for enterpriseをデプロイします。 Microsoft 365 Apps for enterpriseは、ユーザーに常に最新のエクスペリエンスを提供し、制御できるスケジュールに従って最新の機能と更新プログラムを提供します。
Microsoft 365 Apps for enterpriseのデプロイの詳細については、「Microsoft 365 Appsのデプロイ ガイド」を参照してください。
OneDrive ライブラリ
SharePoint には、チームが共同作業できる共有ファイル用の共有ライブラリが用意されていますが、ユーザーは OneDrive に個々のライブラリを持ち、所有するファイルを格納することもできます。
ユーザーが OneDrive にファイルを追加しても、そのファイルは他のユーザーと共有されません。 OneDrive には SharePoint と同じ共有機能が用意されているため、ユーザーは必要に応じて OneDrive でファイルを共有できます。
ユーザーの個々のライブラリには、Teams から、および OneDrive Web インターフェイスとモバイル アプリケーションからアクセスできます。
Windows または macOS を実行しているデバイスでは、ユーザーは OneDrive 同期 アプリをインストールして、OneDrive と SharePoint の両方のファイルをローカル ディスクに同期できます。 この同期アプリを使用すると、オフラインでファイルを操作できます。また、Web インターフェイスに移動することなく、ネイティブ アプリケーション (Wordや Excel など) でファイルを開く利便性も提供します。
コラボレーション シナリオで OneDrive を使用する場合に考慮する 2 つの主な決定事項は次のとおりです。
- Microsoft 365 ユーザーが OneDrive 内のファイルをorganization外のユーザーと共有することを許可しますか?
- マネージド デバイスのみになど、何らかの方法で ファイル同期を制限 しますか?
これらの設定は 、SharePoint 管理センターで構成できます。
データのセキュリティ保護
成功したコラボレーション ソリューションの重要な部分は、organizationのデータのセキュリティを確保することです。 Microsoft 365 には、ユーザーのシームレスなコラボレーション エクスペリエンスを実現しながら、データのセキュリティを維持するのに役立つさまざまな機能が用意されています。
organizationの情報を保護するために、次のことができます。
サイト内の情報の種類に適した各サイトの共有設定を構成して共有を制御し、知的財産をセキュリティで保護しながら、ユーザー向けのコラボレーション スペースを作成できます。
organization内の情報の種類を分類して情報を分類して保護すると、自由に共有する情報と比較して機密性の高い情報に対して高いレベルのセキュリティを提供するガバナンス ポリシーを作成できます。
デバイス管理 を使用してデバイスを管理し、デバイス、場所、その他のパラメーターに基づいて情報へのアクセスを制御できます。
Teams と SharePoint で発生しているコラボレーション アクティビティを監視することでアクティビティを監視し、organizationの情報がどのように使用されているかについての分析情報を得ることができます。 アラートを設定して、疑わしいアクティビティにフラグを設定することもできます。
ポリシーを使用して SharePoint、OneDrive、および Teams の悪意のあるファイルを検出することで脅威から保護することで、organizationのデータとネットワークの安全性を確保できます。
これらのオプションについては、次のセクションで詳しく説明します。 organizationのニーズに応じて、セキュリティと使いやすさの最適なバランスを提供するオプションを選択します。 規制の厳しい業界にいる場合や、機密性の高いデータを使用している場合は、これらのコントロールの多くを実施することをお勧めします。 organizationの情報が機密性が高くない場合は、基本的な共有設定と悪意のあるファイル アラートに依存することが必要な場合があります。
共有を制御する
SharePoint と OneDrive 用に構成する共有設定によって、ユーザーがorganizationの内外で共同作業できるユーザーが決まります。 ビジネス ニーズとデータの機密性に応じて、次のことができます。
- organization外のユーザーとの共有を禁止します。
- organization外のユーザーに認証を要求する。
- 指定したドメインへの共有を制限します。
これらの設定は、organization全体、またはサイトごとに個別に構成できます (プライベート または共有チャネル サイトを除く)。 詳細については、「サイト の共有をオンまたはオフにする 」および「 共有を有効または無効にする」を参照してください。
organization外のユーザーとの共有の詳細については、「ゲストと共有するときにファイルへの偶発的な公開を制限する」を参照してください。
ユーザーがファイルとフォルダーを共有すると、アイテムへのアクセス許可を持つ共有可能なリンクが作成されます。 3 つの主要なリンクの種類があります。
- 誰でも 使用でき、サインインが不要なリンク
- organization内のユーザーに対して機能するorganizationリンクのPeople
- リンク の作成時に指定されたユーザーに対して機能する特定のユーザー リンク
これらのリンクの種類の詳細については、「 Microsoft 365 の OneDrive と SharePoint での共有可能なリンクのしくみ」を参照してください。
[すべてのユーザー] リンクを使用した認証されていないアクセス
すべてのリンクは、organization外のユーザーとファイルやフォルダーを簡単に共有するための優れた方法です。 ただし、機密情報を共有している場合は、このオプションが最適な選択肢ではない可能性があります。
organization外のユーザーに認証を要求する場合、ユーザーは [すべてのユーザー] リンクを使用できないため、共有ファイルとフォルダーのゲスト アクティビティを監査できます。
すべてのリンクでは、organization外のユーザーの認証は必要ありませんが、必要に応じてすべてのリンクの使用状況を追跡し、アクセスを取り消すことができます。
[すべてのユーザー] リンクを許可する場合、いくつかのオプションにより、より安全な共有エクスペリエンスが提供されます。
[すべてのユーザー] リンクを [読み取り専用] に制限できます。 また、有効期限の制限を設定して、リンクの動作を停止することもできます。
もう 1 つのオプションは、別のリンクの種類をユーザーに既定で表示するように構成することです。 このオプションは、不適切な共有の可能性を最小限に抑えるのに役立ちます。 たとえば、[すべてのユーザー] リンクを許可したいが、特定の目的にのみ使用されることを懸念している場合は、既定のリンクの種類を [特定のユーザー] リンクに設定するか、[すべてのユーザー] リンクではなくorganizationリンクのPeopleを設定できます。 ユーザーは、ファイルまたはフォルダーを共有するときに[ すべてのリンク] を明示的に選択する必要があります。
また、データ損失防止を使用して、機密情報を含むファイルへの すべての リンク アクセスを制限することもできます。
organizationリンクのPeople
organizationリンクのPeopleは、organization内で情報を共有するための優れた方法です。 [組織内のユーザー] リンクは組織内のすべてのユーザーに対して機能するので、チームやサイト メンバー以外のユーザーとファイルやフォルダーを共有できます。 このリンクを使用すると、特定のファイルまたはフォルダーにアクセスでき、organization内で渡すことができます。 このアクセスにより、設計、マーケティング、サポート グループなど、別のチームやサイトを持つグループの関係者と簡単にコラボレーションできます。
organization リンクにPeopleを作成しても、関連付けられているファイルまたはフォルダーが検索結果に表示されたり、Copilot 経由でアクセスしたり、organization内のすべてのユーザーにアクセス権を付与されたりすることはありません。 このリンクを作成するだけでは、コンテンツへの組織全体のアクセスは提供されません。 個人がファイルまたはフォルダーにアクセスするには、リンクを所有し、引き換えによってアクティブ化する必要があります。 ユーザーがリンクをクリックして引き換える場合や、場合によっては、メール、チャット、またはその他の通信方法を介して他のユーザーに送信されると、リンクが自動的に引き換えられる場合があります。 このリンクは、ゲストやorganization外の他のユーザーには機能しません。
特定のユーザー のリンク
特定のユーザー リンクは、ユーザーがファイルまたはフォルダーへのアクセスを制限する状況に最適です。 リンクは指定されたユーザーに対してのみ機能し、使用するために認証する必要があります。 これらのリンクは、内部または外部にすることができます (ゲスト共有を有効にした場合)。
情報の分類と保護
Microsoft Purview データ損失防止では、チーム、グループ、サイト、ドキュメントを分類し、一連の条件、アクション、および例外を作成して、それらの使用方法と共有方法を管理する方法を提供します。
情報を分類し、それらの周りにガバナンス ルールを作成することで、ユーザーが機密情報を誤ってまたは意図的に不適切に共有することなく、ユーザーが簡単に共同作業できるコラボレーション環境を作成できます。
データ損失防止ポリシーを設定すると、特定のサイトの共有設定を比較的自由に使用でき、データ損失防止に依存してガバナンス要件を適用できます。 この方法により、ユーザー エクスペリエンスがフレンドリになり、ユーザーが回避しようとする不要な制限を回避できます。
データ損失防止の詳細については、「 データ損失防止について」を参照してください。
秘密度ラベル
秘密度ラベルを使用すると、ガバナンス ワークフローを適用するために使用できる説明ラベルを使用して、チーム、グループ、サイト、ドキュメントを分類できます。
秘密度ラベルを使用すると、ユーザーは情報を安全に共有し、それらのポリシーの専門家になる必要なくガバナンス ポリシーを維持できます。
たとえば、Microsoft 365 グループを非公開として分類し、パブリックではなくプライベートにする必要があるポリシーを構成できます。 このような場合、グループ、チーム、または SharePoint サイトを作成しているユーザーには、機密の分類を選択した場合にのみ プライベート オプションが表示されます。 チーム、グループ、およびサイトで秘密度ラベルを使用する方法については、「 秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、および SharePoint サイトのコンテンツを保護する」を参照してください。
条件とアクション
データ損失保護の条件とアクションを使用すると、特定の条件が満たされたときにガバナンス ワークフローを適用できます。
たとえば、次のような情報が含まれます。
- ドキュメントで顧客情報が検出された場合、ユーザーはそのドキュメントをゲストと共有できません。
- ドキュメントに機密プロジェクトの名前が含まれている場合、ゲストはドキュメントが共有されていても開けられません。
詳細については、「 データ損失防止の詳細」を参照してください。
条件付きアクセス
Microsoft Entra条件付きアクセスでは、信頼されていない場所や最新ではないデバイスなど、危険な状況でユーザーがorganizationのリソースにアクセスできないようにするための追加の制御が提供されます。
たとえば、次のような情報が含まれます。
危険な場所からゲストがサインインできないようにブロックします。
モバイル デバイスに多要素認証が必要です。
管理されていないデバイスを持っている可能性が最も高いユーザーのリスクを軽減するために、ゲスト専用のアクセス ポリシーを作成します。
詳細については、「 条件付きアクセスとは」を参照してください。
レポートを使用した監視
Microsoft 365 には、サイトの使用状況、ドキュメント共有、ガバナンス コンプライアンス、その他のイベントのホストを監視するのに役立つさまざまなレポートが用意されています。
SharePoint サイトの使用状況に関するレポートを表示する方法については、「管理 センターの Microsoft 365 レポート - SharePoint サイトの使用状況」を参照してください。
データ損失防止レポートを表示する方法については、「データ損失防止 のレポートを表示する」を参照してください。
コンテンツ共有の監視に役立つレポートについては、「 SharePoint サイトのデータ アクセス ガバナンス レポート」を参照してください。